Кибер риски давно не сводятся к «антивирусу и фаерволу». Злоумышленники комбинируют фишинг, уязвимости, украденные учетные данные и ошибки настроек. Отсюда два вывода. Во-первых, большинство инцидентов начинается с банального доступа под настоящей учетной записью — кража пароля или токена все еще в топе способов проникновения, о чем последовательно сообщает Verizon DBIR. Во-вторых, каждая минута промедления стоит денег: средняя мировая стоимость утечки, по данным IBM за 2025 год, держится на уровне около $4,4 млн за инцидент.
Что такое «уровни» угроз и почему это работает
Удобно мыслить о защите как о нескольких слоях риска — взлом может начаться в любом из них и пойти цепочкой дальше:
- Люди и идентичности. Фишинг, социальная инженерия, перехват MFA или сессий.
- Приложения и API. Уязвимые конечные точки, ошибочные права доступа, инъекции, утечка секретов.
- Инфраструктура и сеть. Избыточные роли в облаке, лишние открытые порты/сервисы, отсутствие микросегментации.
- Цепочка поставок. Подрядчики, интеграции, сторонние плагины и библиотеки, которые приносят уязвимости.
- Сами данные. Неограниченные хранилища, слабое шифрование, отсутствие контроля доступа и журналирования.
Такой взгляд помогает отвечать на главный вопрос: где именно у нас «тонко» и что еще сломается, если рухнет этот сегмент?
Каркас безопасности: на что опираются
В большинстве зрелых организаций фундаментом служит NIST Cybersecurity Framework 2.0. Он формализует пять базовых функций — Identify, Protect, Detect, Respond, Recover — и добавляет управленческое измерение Govern, чтобы риски были частью ежедневных решений, а не «отдельным миром» команды безопасности.
Параллельно всё шире внедряется Zero Trust — идея «не доверяй по умолчанию», когда каждый запрос проверяется, а доступы минимальны и кратковременны. Формальные принципы изложены в NIST SP 800-207.
Еще одна опора — MITRE ATT&CK. Это открытая база тактик и техник из реальных атак: от первоначального доступа до эксфильтрации и закрепления. Компании сопоставляют свои контроли с ATT&CK, чтобы видеть «дыры» в обнаружении и проверять себя тренировками «красных/фиолетовых» команд.
Как строят защиту по слоям
- Идентичности. Обязательные MFA/менеджеры паролей, политика наименьших привилегий (least privilege), разделение служебных и персональных аккаунтов, периодический пересмотр доступов. Критические операции — с дополнительным подтверждением (step-up).
- Конечные устройства и сеть. EDR/антивирус, управление состоянием и комплаенсом устройств, шифрование накопителей, микросегментация сети, выход во внешние сервисы по принципу «только необходимое».
- Приложения и API. Хранение секретов в защищенном хранилище (vault), регулярные обновления и проверка зависимостей, тестирование изменений до релиза, защита от ботов и ограничение частоты запросов на критических эндпойнтах, четкая изоляция сред (dev/stage/prod).
- Данные. Классификация (что конфиденциально, что публично), шифрование «в покое» и «в транзите», журналы доступа, политики удержания, контроль копирования на внешние сервисы (DLP).
- Мониторинг и реагирование. Телеметрия со всего (журналы, сетевые события, эндпойнты), корреляция в SIEM, чёткие плейбуки реагирования, симуляции инцидентов по цепочкам ATT&CK.
Где «болит» чаще всего и что с этим делать
Рассмотрим типичные уязвимости и причины их появления.
| Болезненные места | Как с этим бороться |
| Украденные учетные данные | Устойчивые фишинговые кампании и повторное использование паролей — причина большой доли взломов, что фиксирует DBIR. Лекарство: FIDO2/безпарольные методы, MFA с фишингоустойчивыми факторами, детектирование нетипичной активности сессий. |
| Уязвимости и «латание задним числом» | Уязвимый VPN или веб-сервис надолго открывает дверь. Нужен не «патч-день раз в квартал», а непрерывный цикл: актуальный реестр активов, приоритизация уязвимостей с учетом CVSS и бизнес-контекста, четкие SLO на исправление (окна ремедиации для разных уровней риска) и прозрачное ведение исключений с датами пересмотра. |
| Третьи стороны и интеграции | О цепочке поставок часто вспоминают уже после инцидента. Снизить риск помогает каталог всех подключений, регулярная проверка поставщиков (due diligence) и принцип минимальных прав: сегментируйте доступы, выдавайте временные токены и ограничивайте их возможности ровно необходимым. |
| «Теневой» и неуправляемый ИИ | Когда сотрудники самостоятельно подключают модели или плагины без правил, растёт вероятность утечек и стоимость инцидентов (на это прямо указывают оценки IBM за 2025 год). Рецепт простой: утвердить политику использования ИИ, контролировать права доступа к моделям и данным, а также включить журналирование промптов и ответов. |
YouTube
Что делать в первую очередь
- Включите фишингоустойчивую MFA и уберите пароль там, где возможно.
- Сведите журналы в единый центр и добавьте базовые корреляции (аномальная география входов, нестандартные токены, новые публичные порты).
- Проинвентаризируйте критичные API и закройте всё, что «светится» без необходимости.
- Проверьте резервные копии не только «на наличие», а на восстановимость — тестовое поднятие сервиса из бэкапа должно быть рутиной.
